CVE-2026-40909 in AVideoinformación

Resumen

por VulDB • 2026-05-24

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 29.0 y anteriores, el punto de guardado de la configuración regional (`locale/save.php`) construye una ruta de archivo concatenando directamente `$_POST['flag']` en la ruta en la línea 30, sin ninguna sanitización. El parámetro `$_POST['code']` se escribe luego literalmente en esa ruta mediante `fwrite()` en la línea 40. Un atacante con privilegios de administrador (o cualquier usuario que pueda realizar un ataque CSRF contra un administrador, ya que no se verifica ningún token CSRF y las cookies utilizan `SameSite=None`) puede escapar del directorio `locale/` y escribir archivos `.php` arbitrarios en cualquier ubicación del sistema de archivos con permisos de escritura, logrando así la Ejecución Remota de Código (RCE). El commit 57f89ffbc27d37c9d9dd727212334846e78ac21a corrige el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-21

Moderación

aceptado

Artículo

VDB-358567

CPE

listo

EPSS

0.00190

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40909
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40909
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40909/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!